中小企业信息网络安全解决方案
2005-12-08 14:29 作者: 高级工程师 尹智庆 来源: 绿盟科技
中小企业信息网络安全解决方案
2005-12-08 14:29 作者: 高级工程师 尹智庆 来源: 绿盟科技
国内中小企业信息化已经得到了迅速的发展,而且发挥着越来越重要的作用,由于受资金、安全意识方面的限制,信息安全建设相对严重滞后。目前,很多企业已经建立了防火墙+防病毒的安全体系,是否就能取得较好的安全效果呢?事实表明,这样的安全措施还是不够的。蠕虫的爆发、网站遭到破坏、内部信息资外泄……中小企业会遇到许多 “成长中的烦恼”,如何做到利用最有效的投资获取最大的安全效果呢?
中小企业在业务中对于信息技术和网络的依赖程度越来越高,必须引起对信息安全的重视。然而,由于企业将主要的精力集中在各种业务应用的开展上,再加之受限于资金、技术、人员以及安全意识等多方面因素,信息安全建设往往相对滞后。部分企业已经采用了“防火墙+防病毒”的基本安全措施,但很多中小企业什么安全保护措施都没有,不能不让人为此担忧。
随着网络技术的迅速发展,各种依托网络开展的攻击技术也得到了蔓延。黑客攻击手段越来越丰富,各类破坏力较大的攻击工具、文摘在网上唾手可得;中小企业的安全现状常常使得他们成了黑客攻击破坏的首选 “试验品”。另外病毒的发展已经远远超过人们预期的想象,破坏性越来越严重;加上企业内部信息安全管理制度的疏漏,为一些不法人员提供了大量的犯罪途径。中小企业迅速建立完善的信息安全体制已经势在必行。
中小企业的信息安全建设可以根据各自的条件采用不同的策略。绿盟科技针对中小企业信息安全的特点制定出三种中小企业安全方案。
经济型(适用于主机数100用户以下)
防护措施
访问控制系统+防病毒:最基本的安全措施:防火墙系统与网络防病毒系统,通常可以抵挡住70%的攻击行为;
入侵检测系统:网络入侵检测系统可以帮助用户动态发现内部和外部的入侵企图,及时阻断,也便于查找攻击破坏源,缩短响应时间,降低攻击损失程度;
定期脆弱性评估、维护服务:简单而有必要的的安全服务内容能发现更多的安全隐患;做到提前预知与防护;
标准型(适用于主机数100-300用户)
访问控制系统+防病毒(含垃圾邮件防护模块):最基本的安全措施,通常已经建设但需要增加必要的模块;如防垃圾邮件模块;
入侵检测系统+风险评估系统(64地址用户即可):根据实际情况可进行分布式部署入侵检测系统与中心节点的风险评估系统,建立动态、实时、周期性防护体系;
日常咨询服务+紧急响应:必要的安全咨询服务于紧急响应来解决日常安全问题和突发安全事件,是中小企业中对实时性要求较高的企业不可缺少的一部分;
增强型(适用于主机数300-800用户)
咨询服务+整体风险评估
便于进行全方位的安全架构设计;发现更多的未知安全隐患;
访问控制系统(含VPN模块)+防病毒(含垃圾邮件防护模块)
充分考虑系统的可扩展性,保护用户投资;
分布式入侵检测系统(或多网段检测)+ 风险评估系统(一个C类地址即可)
可进行分布式部署发现多个网段的异常信息流与内部关键字信息定制;建立定期严格的安全评估策略;
专用抗拒绝服务系统
保护用户实时发布系统和对外网站系统的电子商务平台等,便于提升服务质量;
日常咨询+紧急响应
便于处理日常问题或突发事件的产生;
安全制度+安全培训
必要的安全管理措施与安全基础培训能增强整体安全水准,提高安全意识;
以上三种方案可以满足绝大多数中小企业用户现阶段信息网络安全建设的需要。
下面我们通过一个简单的案例来了解一下信息网络安全建设的实例:
国内一知名电子设备制造企业,有员工1000人左右,内部主机总数约400台。整个网络采用分层的单出口结构,接入层采用一台CISCO 设备,通过一条至电信部门的10M专线与广域网相连。主要应用为内部办公、网站发布、邮件系统、财务办公、部分电子商务以及客户关系管理系统、人事管理系统等。
[中小企业信息网络安全解决方案]
企业总部设在广州,在南京有一分支机构。网络曾经过多次改造扩建,目前初具规模,设备主要采用CISCO设备,服务器系统大多数采用 Windows系列,提供服务的服务器目前有5台,正打算扩展部分服务系统;此外还有内部服务器系统,主要做用户文件管理与共享;内部网络各子网分布在不同的楼层,在交换设备上作了VLAN的划分,各子网间不允许互访。财务网络采用独立网段,与其它子网逻辑隔离;不允许进行外部访问,只可以通过电话线路拨号上网。分支机构和部分出差移动办公人员通过电话拨号上网与内部网络通过邮件进行信息传递。(如上图所示)
该企业由于内部网上病毒危害较大,采购了一套国外网络防病毒系统;网络管理人员对服务器系统大约2个月左右进行升级一次,此外在路由设备上作了基本的地址转换等访问控制规则设置。
实际情况是仅采取以上措施仍然没有达到预期效果,发生了多起严重的安全事件:蠕虫爆发造成了网络阻塞;垃圾邮件占用了邮件服务器过多的空间;web服务时常中断,在采用监听工具查找时,发现了经常被外部扫描窥探的痕迹;内部员工在上班时间利用网络做大流量文件传输,严重占用了网络带宽资源,经常会影响到正常的业务信息查询等工作;此外还有内部员工出于好奇作一些尝试性的攻击破坏,使得内部服务器区的服务器经常性的需要进行备份恢复处理等等。为此,该公司信息管理人员深感安全防护已经成为迫在眉睫的工作。绿盟科技在对网络实际情况进行了详细的分析之后决定为其选择“增强型方案”,在方案设计时主要遵循以下几个重要原则:
统一性与整体性原则
一个完整网络系统的各个环节,包括设备、软件、数据、人员等,在网络安全中的地位和影响作用,只有从系统整体的角度去看待、分析,才可能得到有效、可行的安全措施。因此,整体安全保障体系建设应遵循统一性、整体性原则,便于今后系统的扩展。
技术与管理相结合原则
信息网络系统是一个相对复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
动态防护原则
要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。
积极防御原则
消极防御只能是被动挨打,所以应在技术和管理上创建一个灵活机动、适应性强的安全保障体系,做到积极防御。
多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。
分阶段实施原则
要根据实际安全需求情况,以及建设内容的重要程度和建设成本等,实行分阶段建设的原则,做到安全体系的建设既能够满足现阶段相当一段时间内安全的需要,又能够充分利用有限的资金和资源。
在经过整体分析后,整体安全需求及解决方法描述如下表:
边界安全
服务器以及内部网络和外部网络连接处的入口,保证服务器区以及内部资源不被非法访问;
在防火墙系统中设VPN模块,防止各种非授权访问,也满足了分支机构的访问和移动办公的安全访问需要;对于财务网络还设置了代理服务器多重保护;
抗拒绝服务
不仅仅能对内部各服务器系统进行抗拒绝服务保护,还能够对防火墙系统进行防护;
设置专业防拒绝服务的专用黑洞系统、;
入侵检测
对于分布环境下重要网段的攻击检测,发现来源于内部或外部的攻击,进行记录和阻断;也便于发现网络内部的异常信息流,如访问非法网站、内部异常扫描、非主流业务的大流量传输等;对于蠕虫大规模爆发时即可以查出源地址,便于及时进行处理;
利用基于网络的分布式入侵检测技术,在服务器区以及在内部网络各子网接入部分部署入侵检测系统;在后期建设中随着网络规模的扩大,在各子网中也可以部署入侵检测系统,并且采用同一控制台进行集中统一管理;
安全检查
保证动态网络在变化时的风险检测,同时评估安全风险变化和安全工程的作用;
部署专业级风险评估系统,周期性对网络内部进行评估检测,提供专家级补救建议;
安全服务
保证网络遇到各种突发安全事件时能得到妥善处理;在日常维护中提供专家级咨询服务;并有利于提高整体安全意识等,满足动态性安全需要;
在进行安全项目实施前作一次脆弱性安全评估,确定整体安全策略;提供一年内安全咨询、紧急响应、安全通告、专业安全培训、安全制度的更新完善;
其建设后的示意图如下:
[中小企业信息网络安全解决方案]
项目所采取的安全系统考虑到了现阶段的需求,并充分考虑到今后的扩展性,整个安全系统的投入仅占信息网络整体建设的8%。此项目的设计与实施得到了该信息中心的高度认可,网络至今运行稳定可靠,过去所遇到的问题和未发现的严重安全隐患均得到了有效的解决。网络管理人员和各类业务人员参加培训之后对安全体系的认识有了显著的提高,出台了各种安全制度,完善了安全策略措施,该企业的领导对信息化的进一步建设也表示出了从未有过的信心。
绿盟科技做为国内最为专业的安全服务公司和安全产品提供商,在成功为金融、电信、政府等领域提供了大量的专业安全产品和服务解决方案后,在众多的中小型企业信息安全建设中也同样得到了用户的高度认可。绿盟科技还将继续不断的探索,为更多的中小型企业提供更为先进的产品和更为优质的服务。